Info-Stealers que mais atingem a região

04/09/2024

Info-Stealers que mais atingem a região
Imagem assistida/criada por IA

Por Guillermo Pereyra, Analista de Segurança no LACNIC

Para dar seguimento ao artigo Info-Stealers: prevenção e proteção contra o roubo de informações, neste artigo apresentaremos uma análise mais detalhada sobre o funcionamento dos três Info-Stealers que mais afetam a nossa região.

Info-Stealers que mais atingem a região

Observa-se que os três Info-Stealers que mais afetam a nossa região são RedLine, Raccoon e Lumma. Embora esses malwares compartilhem o mesmo objetivo de roubar credenciais e informações, apresentam diferenças nos seus métodos de infecção, nos tipos de dados que extraem e na capacidade de evasão.

A seguir, analisaremos detalhadamente cada um deles.

RedLine

Na imagem anterior, podemos observar que o Redline (em azul) é frequente nessa região. Fonte: McAfee

Trata-se de um malware do tipo Info-Stealer, disponível para aquisição em fóruns de cibercriminosos. Uma vez adquirido, os criminosos o distribuem às vítimas através de sites fraudulentos que imitam a identidade de um software legítimo, como clientes de VPN ou conversores de arquivos online. Nas versões mais recentes, esse malware também foi detectado em jogos que se passam por versões originais.

(Acesso livre, não requer assinatura)

Quando o usuário executa o malware no seu computador, este software malicioso começa a realizar suas atividades. Primeiro, faz uma análise anti-forense do sistema infectado para evitar ser detectado e analisado. Em seguida, comunica-se com o servidor de comando e controle (C2), que indica as ações que devem ser realizadas na máquina vítima.

A seguir, o malware procede à extração de dados sensíveis do usuário que incluem:

  • Informações sobre o sistema da vítima.
  • Credenciais, cookies, cartões de crédito e links para redes sociais nos navegadores da vítima.
  • Dados de clientes FTP (FileZilla, WinSCP).
  • Dados de clientes de mensageria instantânea.
  • Carteiras de criptomoedas.
  • Arquivos específicos solicitados pelo Command and Control.

Uma vez que o malware coleta as informações desejadas, as ofusca (disfarça) e as protege com criptografia antes de enviá-las para os servidores de comando e controle do cibercriminoso.

As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.

Inscrever-se
Notificar de

0 Comments
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários